CityCat4

после обычного роутера МТС, микротик конечно сильно отстает,

Да нет, это кривизна рук отстает от той, которая нужна для работы с микротиками :)

Вопрос скорее не технический, а организационный. Хотя техническая часть в нем есть.
Технически:
- привязка mac к порту
- укладка провода так, чтобы просто так не добраться (человек ленив, если надо лезть под стол - точно не полезет)
- отобрать админские права на винду у тех, кому они не нужны
- arpwatch всюду

Организационный:
- общий приказ по конторе о запрете домашних устройств, под роспись каждому
- информирование о введении режима привязки маков
- тем, кому админские права нужны для работы - отдельная бумага об ответственности с подписью
- показательная порка первого пойманного - лишение премии, выговор, увольнение в режиме "два часа на сбор личных вещей"

Отдельное замечание про умников с клонированием мака. Здесь, как и везде, роялит намерение. Клонирование мака - это явно деструктивное действие, направленное на обход систем защиты. Значит ты кто - ты нарушитель, и с тобой не админы будут говорить, а безопасники иди руководство.

В 2015-м вроде как один такой чел у нас решил "попробовать" Tor. Ну, директор по безопасности вызвал его и его начальника, поговорил... Челу как бабка отшептала что-то пробовать, до сих пор у нас работает...

Роутерыч, елы-палы. Правда, если не хочется разбираться в качестве сомнительного татарского стартапа - идем на сайт openwrt, смотрим, что поддерживается, покупаем, шьем...

Свое - надежнее будет.

Никак. По крайннй мере без согласования со стороны МТС (а я более чем уверен, что такого согласования Вы никогда не получите).
Почему? У МТС огромная сеть. И мониторится она конечно же автоматами. И работают эти автоматы в расчете на то, что с той стороны подконтрольная им железка. Если же это не так - связь просто не подымается. Вот и все.
Звоните в саппорт, описываете ситуацию. Вас шлют. Вы говорите "уйду к другому провайдеру". Вам желают попутного ветра в горбатую спину. Вы возвращаете на место провайдерский роутер (если таковой был) и просите перевести его в режим моста. На это МТС идет. Вы создаете на микротике pptp подключение (не забываем про clamp-mss-to-pmtu!), считаете его за провайдерский интерфейс и настраиваете микротик соответственно.

RB4011 - серьезная железка, куда Вам домой такая :)

Попасть в морду управления можно через winbox по маку. Возможно у микротика не загружено никакой конфигурации и нет никаких адресов.

есть ли другие способы

Есть.

Понять, что есть категория устройств, рассчитанных на невзыскательного потребителя тырнета для которого главное - цена. Никакими openwrt такой покупатель не иентересуется и вот этот роутер - это такое устройство. С ним ничего не сделать, только купить такой, который можно использовать. Кинетик советовали неоднократно, я в принципе согласен. Старая, уважаемая контора...

Не с этим роутером. Это пардон днище для самого невзыскательного клиента по принципу "главное - цена".

Нет таких приложений. А "сторонее ПО" - это скорее всего VPN в Японию, Ю. Корею или еще куда там кроме Китая. Заведите себе VPS в данных локациях, подымите дотуда VPN, какой сможете - и ходите через него.

Микротик конечно же. Гибче не придумаешь. Но за это приходится платить повышенным порогом входа и тем, что придется думать. Нет у микротика никаких "визардов", есть фактически голая консоль, переведеная в графику - winbox. Там минимум свистелок и перделок, ты можешь сделать практически все, что угодно... если знаешь как.
Ну или доки читать. Обычному юзеру это не надо, вот и берут кинетики, асусы и даже прости-Господи Tp-Link (хотя для невзыскательного юзера он вполне годится)

Я дилетант и хочу взять устройство под openwrt чтобы обходить DPI централизованно

Блокировки постоянно мутируют, средства обхода блокировок - тоже. Один раз что-то сделать и почить на лаврах не получится.
Берете любой современный роутер, шьете и следите за новостями :)

Никак. TW например намеренно хватает "кусками" из разных подсетей, чтобы его сложнее было заблокировать.

Вариант, однозначно рабочий - микротик. Не знаю правда как с бюджетом - у всех свои понятия :)
Вариант, условно рабочий и предполагающий много знания и много траха - openwrt. Берется роутер, поддерживающий openwrt, туда шьется он соответтственно и настраивается.

При отсутствии хотя бы с одной стороны статики (причем белой статики) без сторонних средств задача не имеет решения. В этом случае решение только так, как делает TW, AnyDesk иже с ними - берется некий центр, IP адрес которого известен и подключается к нему в обеих точках. Центр обеспечивает маршрутизацию.

Арендуете VPS, достаточно самый дишман, разворачиваете VPN, который поддерживают узлы, подключаетесь, вперед.

Начать с того, что нарисовать схему - что куда будет прокидываться, потому что сейчас это звучит как дом, который построил Джек.

"...А это веселая птица-синица
Которая ловко ворует пшеницу
Которая в темном чулане хранится
В доме, который построил Джек..." (С) Английская народная сказка, перевод С.Я. Маршака

Что и как делать, чтобы перевести Iskratel RT-GM-3 в режим моста?

Связаться с саппортом, пропросить перевести в режим моста, спросить логин и пароль от pptp. Не слушать тех, кто говорит, что можно перевести самому. Да, наверное можно, но провайдер, увидев несогласованное изменение, запросто откатит обратно, а если не сможет просто заблокирует - и ты сам прибежишь.

Может ли провайдер отказать?

Не знаю, может и может, только зачем ему? Ему нужно, чтобы ты бабки гнал.

Какие модели роутеров посоветуйте с учётом вводных?

Микротик. Если "не шмогла" - Кинетик

У меня RT-GM-6, перевел в режим моста сразу после монтажа, прям челу, который монтировал сказал. Чем мне сразу логин-пароль выдал и переключил на следующий день.

Соховские модели как правило не имеют никаких продвинутых настроек, за исключением кинетика и может быть некоторых асусов. Но никакой LACP не даст Вам возможность суммировать каналы провайдеров.

Есть такая штука, называется она "привязка по MAC-адресу" и заключается в настройке того, что по данному порту может работать только устройство с данным MAC-адресом.
Позвонить в саппорт, сказать "поменяла роутер, обновите привязку". У некоторых провов есть прямо пункт в голосовом меню такой.

Уровнем OSI, на котором работает. Роутер работает на L3, коммутатор на L2. Функции маршрутизации пакетов (которые нужны будут для подключения к прову) на коммутаторе недоступны. Впрочем есть полный дишман, который по цене практически не отличается - для пользователей без претензий.

Начать надо с вопроса - а даст ли тебе пров заменить его роутер? РТК и МТС запросто не дадут. Поэтому обычно решение тут - роутер прова переводится в режим моста - провом! тебе только заявку подать и получить реквизиты подключения, за ним ставится твой роутер, на котором настраивается подключение к сети прова. Таким образом, роутер прова первращается в тупую железку, а вся раздача идет с твоего роутера.

Если оптика, то пров тупо не даст тебе поставить свой оптотерминал - бери у него терминал, переводи в режим моста, ставь за ним роутер - в РТК например это единственный способ хоть частично от их уродца избавиться (хоть в смысле функционала, так-то он все равно стоять будет и иногда виснуть).
Если не оптика, то можно ставить любой роутер, поддерживающий способ подключения к прову.

Приобрести роутер, которым можно было бы заменить существующий Iskratel RT-GM-3.

Mission failed. Сразу же. Провайдер никогда не позволит Вам поменять оптотерминал - у него их тысячи и все одинаковые, нахрен ему зоопарк?

Приобрести роутер, который можно было бы подключить к существующему Iskratel RT-GM-3

Вот это реальный вариант. Договариваетесь с провом о переводе терминала в режим моста (пров это сделает удаленно - вообще говоря он Вашим терминалом запросто удаленно управляет), получите логин-пароль для входа к прову, покупаете роутер, настраиваете его, вуаля.

(правильно ли я понимаю, что это называется «репитер»?).

Нет. repeat - повторить. Репитер - повторитель сигнала, расширающий зону действия другого устройства.